Verantwortungsvolle Offenlegung

Verantwortungsvolle Offenlegung

Responsible Disclosure (Verantwortungsvolle Offenlegung)

Bei delaware hat die Sicherheit unserer Systeme höchste Priorität. Trotz dessen können Sicherheitslücken nicht zu 100% ausgeschlossen werden. 


Was tun, wenn Sie eine Sicherheitslücke entdecken:

  • Senden Sie Ihre Entdeckungen per E-Mail an delaware.itsecurity@delaware.pro. Verschlüsseln Sie diese mit unserem PGP-Schlüssel, sodass diese sensiblen Informationen nicht in die falschen Hände geraten können,
  • Nutzen Sie die von Ihnen entdeckte Schwachstelle oder das Problem nicht aus, indem Sie z. B. mehr Daten als zur Darstellung der Schwachstelle erforderlich herunterladen oder die Daten anderer Personen löschen oder verändern,
  • Melden Sie das Problem nicht an Dritte weiter, bevor es behoben ist.
  • Nutzen Sie keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter, und
  • Stellen Sie ausreichend Informationen zur Verfügung, um das Problem zu reproduzieren, damit es schnellstens behoben werden kann. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, komplexe Schwachstellen können jedoch weitere Erläuterungen erfordern.

Was können Sie erwarten?

  • Innerhalb von 5 Werktagen werden wir auf Ihre Meldung antworten und Ihnen unsere Einschätzung des Falls sowie einen voraussichtlichen Zeitpunkt für eine Lösung mitteilen,
  • Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Zusammenhang mit der Meldung einleiten,
  • Wir behandeln Ihre Meldung streng vertraulich und leiten Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter,
  • Wir werden Sie über die Lösungsfortschritte des Problems auf dem Laufenden halten,
  • In den veröffentlichten Berichten über das gemeldete Problem werden wir Ihren Namen als Entdecker des Problems angeben (sofern Sie dies nicht anders wünschen).

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und möchten bei der anschließenden Veröffentlichung des Problems eine aktive Rolle spielen, nachdem dieses gelöst wurde.